Sand im Getriebe: In puncto DSGVO sind noch viele Fragen offen

Die EU-Datenschutzgrundverordnung (DSGVO) hat in den vergangenen Monaten für jede Menge Wirbel gesorgt – und leider auch Unsicherheit und Verwirrung nach sich gezogen. In diesem Beitrag fassen wir die Grundgedanken der neuen Regelung zusammen und gehen auf Probleme bei der DSGVO-Umsetzung ein. Weiterführende Links inklusive.

Seit dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) für alle in der Europäischen Union beheimateten oder niedergelassenen Unternehmen rechtsbindend. Auch in der EU tätige Selbstständige und Freiberufler sowie öffentliche Stellen, Institutionen und Vereine fallen unter die neue Regelung. Für sie alle war – und ist, wie sich weiter unten zeigen wird – die Umsetzung der DSGVO ein langer und beschwerlicher Weg.

Auch für Banken ist die DSGVO natürlich verbindlich, wobei die meisten Finanzinstitute ohnehin  seit jeher nach Maßgabe hoher Datenschutzstandards arbeiten. Zu beachten ist allerdings, dass Banken in DSGVO-Fragen nicht als Ansprechpartner für ihre Kunden dienen können, hierzu also keinerlei gesonderte Beratung anbieten. Die Erfahrungen der vergangenen Monate haben gezeigt, dass in diesem Punkt noch größere Unklarheit herrscht.

Die Volksbank Freiburg möchte deshalb in diesem Beitrag noch einmal ganz allgemein über das für alle Seiten so wichtige Thema informieren und kurz auf einige Kernaspekte und Umsetzungsprobleme eingehen. Bitte beachten Sie dazu auch die weiterführenden Links zur DSGVO, die wir in der Infobox für Sie zusammengestellt haben.

Weiterführende Informationen zur DSGVO

> Die Gesellschaft für Datenschutz und Datensicherheit e.V. hält auf ihrer Internetseite eine Fülle an Informationen zur DSGVO vor. Darunter etwa auch eine kompakte und einfach beschriebene Praxishilfe als PDF-Download sowie hilfreiche Hinweise zur Meldung des Datenschutzbeauftragten. Hier lohnt sich das Stöbern in den Suchergebnissen!

> Nicht minder empfehlenswert sind die zahlreichen Bitkom-Publikationen zum Thema „Datenschutz und Sicherheit“. Äußerst informativ ist beispielsweise der Beitrag „Die wichtigsten Fragen und Antworten zur EU-Datenschutzgrundverordnung (DSGVO)“.

> Weitere Tipps zum vertiefenden Einlesen ins Thema: „Welchen Einfluss hat die neue EU-DSGVO auf den Banken- und Finanzsektor?“ auf Piwik PRO und „Fit für die DSGVO – Der neue Datenschutz (PDF)“ von Kompac’t.

Was ist der Kerngedanke der DSGVO?

Als Neufassung des in die Jahre gekommenen Bundesdatenschutzgesetzes zielt die DSGVO auf den verbesserten Schutz der Daten natürlicher Personen ab. Sie stärkt in diesem Punkt die Rechte von EU-Bürgern. In erster Linie soll damit den Herausforderungen der Digitalisierung und der stark zunehmenden Speicherung und Verarbeitung personenbezogener Daten begegnet werden. Im Kern untersagt die DSGVO dabei jegliche Form der Verarbeitung solcher Daten, sofern dies nicht explizit per Rechtsgrundlage legitimiert ist oder der Betroffene aktiv eingewilligt hat.

Die mit der DSGVO verbundenen Neuerungen betreffen insbesondere die folgenden Punkte:

  • Recht auf Information
  • Recht auf „Vergessenwerden“
  • Recht auf Auskunft
  • Reduzierte Verarbeitung persönlicher Daten
  • Datenmitnahme bei Anbieterwechsel
  • Erhöhung der Datensicherheit
  • Meldepflicht bei Datenschutzpannen
  • Strafe bei Verstößen
Ein besonderer Handlungsdruck bestand aus Sicht der EU aufgrund des oftmals eher unsensiblen Umgangs mit Nutzerdaten seitens außereuropäischer „Datenkraken“ wie Google, Facebook und Amazon. Man denke hier etwa an den Skandal um die massenhafte Weitergabe von Facebook-Nutzerdaten an das Datenanalyse-Unternehmen Cambridge Analytica.

Unsicherheiten, Umsetzungsprobleme und Kritik

Bekanntermaßen hat die DSGVO – trotz des für den Verbraucher positiven Grundgedankens – für ein gerüttelt Maß an Unsicherheit und Verwirrung gesorgt. Unter anderem weil manche der neuen Vorgaben weiterhin unklar bzw. in juristischer Hinsicht (noch) Auslegungssache sind und bei eindeutigen Verstößen nach wie vor mit einer Abmahnwelle zu rechnen ist. Einige zentrale Kritikpunkte sind in dem Artikel „Selbst Anwälte sind ratlos über die neuen Datenschutzregeln“ in „Die Zeit“ aufgeführt. Ebenfalls lesenswert ist der Kommentar „Die neuen Regeln sollten nicht die Falschen treffen“ in der „Süddeutschen Zeitung“.

Nicht alleine deswegen hat sich die DSGVO als wahre Herkulesaufgabe für alle entpuppt, die in die Pflicht genommen wurden. So ist die Neuregelung zwar schon im Mai 2016 in Kraft getreten und gewährte eine zweijährige Übergangszeit bis zur vollumfänglichen Umsetzung der unzähligen neuen Vorgaben. Bereits im Frühsommer 2018 ließ jedoch eine Studie der Unternehmensberatung absolit erahnen, dass nicht wenige Unternehmen die DSGVO-Deadline verpassen würden.

Seinerzeit sahen sich lediglich rund zehn Prozent der 606 befragten mittleren und großen Unternehmen aus zwölf verschiedenen Branchen entsprechend vorbereitet. Und 56 Prozent gaben an, dass sie sich kurz vor Fristende noch mitten in der Anpassung ihrer Prozesse befänden.

Es ist also davon auszugehen, dass vielerorts noch auf unbestimmte Zeit nicht 100-prozentig DSGVO-konform gearbeitet wird. Wenn überhaupt jemals.

Der Mittelstand stößt an seine Grenzen

Klar scheint zu sein: Die schiere Masse der neuen Anforderungen sowie der entstehende Mehraufwand wurden entweder völlig unterschätzt – oder aber die DSGVO hat viele Adressaten schlichtweg inhaltlich überfordert. Zu berücksichtigen ist zudem, dass gerade kleine und mittelständische Unternehmen – ebenso wie Selbstständige, Freiberufler oder Vereine – meist nur über begrenzte personelle und/oder finanzielle Ressourcen zur fristgerechten Umsetzung derart umfassender Auflagen verfügen. Und nebenher muss ja auch das Tagesgeschäft weiterlaufen.

Insofern wundert es nicht, dass die DSGVO trotz ihres grundsätzlich richtigen Ansatzes bisweilen als Sand im Getriebe empfunden wird. Denn eines ist nunmal Fakt: Die DSGVO hat in vielen Bereichen den einen oder anderen zuvor noch einfachen Prozess verkompliziert. Ob nun aus guten Gründen oder unnötigerweise wollen wir mal dahingestellt sein lassen.